版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、XX公司PC机及笔记本电脑Windows系统安全配置标准1 目的为保证XX公司IT支撑系统的信息安全,规范个人桌面PC机及移动笔记本的Windows操作系统安全配置,特制定此标准。2 范围本标准适用于XX公司个人办公PC机及笔记本电脑上所用的Windows 2000系统、Windows XP系统及Windows 7系统。3 Windows 2000 安全配置标准3.1 系统补丁安装标准3.1.1 系统补丁分类Windows 2000系统与安全相关的补丁大致分三类:n Service Pack(补丁包): Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序
2、的累积的集合。Service Pack 还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。n Security Patch(安全补丁):Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。n Hotfix(修补程序):Ho
3、tfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。3.1.2 补丁安装原则1、新安装或者重新安装Windows 2000操作系统,必须安装最新的Service Pack补丁集。2、必须安装等级为严重和重要的Security Patch。3、有关安全方面的Hotfixes补丁应当及时安装。4、最新的安全补丁发布与升级步骤,由数据中心定期在内网上发布通知。注:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前
4、要经过测试和验证。3.2 帐号和口令安全配置标准3.2.1 密码策略配置要求通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表:策略默认设置安全设置强制执行密码历史记录记住 1 个密码记住 5个密码密码最长期限42 天90 天密码最短期限0 天0天最短密码长度0 个字符8个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤如下:进入“控制面板/管理工具/本地安全策略”,在“帐户策略->密码策略”。3.2.2 密码复杂性配置要求在“密码策略”中 “密码必须符合复杂性要求”选项启动后,系统
5、将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符中的三种:n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符,如标点符号,, #, $, %, &, *等3.2.3 帐号安全控制要求1、“帐户锁定策略”配置要求有效的帐号锁定策略有助于防止攻击者猜出帐号对应的密码。要求按照下表要求调整“帐户锁定策略”:策略默认设置安全设置帐户锁定时间未定义30 分钟帐户锁定阈值05 次无效登录复位帐户锁定计数器未定义30 分钟之后帐号锁定配置具体操作如下图:进入“控制面板/管理工具/本地安全
6、策略”,在“帐户策略->帐户锁定策略”。2、系统内置帐号管理要求Windows2000系统中存在不可删除的内置帐号,包括Administrator和guest。对于管理员帐号,要求更改缺省帐户名称,并对隶属于Administrators组的帐号要严格监控;要求禁用guest(来宾)帐号,以防止攻击者通过利用已知的用户名破坏远程服务器。3、其它帐号管理要求临时的测试帐号和过期的无用帐号应该在3个工作日内及时删除。(注:测试帐号和无用帐号不是系统默认安装时生成的,是系统操作过程中人为新增的帐号,应该及时删除。)3.3 服务和端口配置标准3.3.1 服务管理配置要求Windows 2000 缺
7、省安装会创建很多默认服务并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。下表列出的服务是Windows 2000系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:服务启动类型服务功能实现Automatic Updates自动允许下载并安装Windows更新COM+ 事件服务手动允许组件服务的管理DHCP 客户端自动通过注册和更新IP地址和DNS域名来管理网络配置分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接DNS 客户端自动允许解析 DNS 名称事件日志自动允许在事件日志中查看事件日
8、志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据,向日志中写入或触发警报即插即用自动Windows 2000 标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据,如私钥远程过程调用 (RPC)自动Windows 2000 中的内部过程所需安全帐户管理器自动存储本地安全帐户的帐户信息系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper 服务自动在组策略中进行软件分发所需(可分发修补程序)Windows 管理规
9、范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows 时间服务自动需要它来保证 Kerberos 身份验证有一致的功能工作站自动加入域时所需3.3.2 端口配置要求为防止攻击者通过小端口浏览到指定网段内的工作站中全部共享信息、对共享文件进行编辑、删除操作等,应该关闭不需要的小端口,关闭方法如下:1、139端口139端口是NetBIOS Session端口,用来文件和打印共享。按照如下方法关闭:关闭139端口,在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里选择“禁用TCP/IP的NETBIOS”
10、 。2、445端口关闭445端口,修改注册表,添加一个键值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDeviceEnabled"=dword:00000000。注:若打印机配置必须开启以上端口,可暂不关闭。3.4 安全选项配置标准请按照下表中的要求设置Windows 2000系统中的安全选项:安全选项注释安全设置LAN Manager身份验证级别确定网络登录时将使用哪个质询/响应身份验证协议。该选项会影响客户端使用的身份验证协议的级别、协商的会话安全级别,以及服务器所接受的身份验
11、证级别。发送LM& NTLM响应,如果已协商,使用NTLMv2安全会话对匿名连接的额外限制确定匿名连接到计算机应具有的其他权限。不允许枚举sam账号和共享在断开会话之前所需的空闲时间确定“服务器消息块 (SMB)”会话因为不活动而被挂起之前,在该会话中必须经过的连续空闲时间。15分钟如果无法记录安全审计则立即关闭系统确定当系统无法记录安全事件时是否关闭系统。停用登录屏幕上不要显示上次登录的用户名确定是否将上次登录到计算机的用户名显示在 Windows 登录画面中。启用在关机时清理虚拟内存页面交换文件确定在关闭系统时是否清除虚拟内存页面文件。启用发送未加密的密码到第三方 SMB 服务器如
12、果启用该策略,将允许“服务器消息块 (SMB)”重定向器向身份验证期间不支持密码加密的非 Microsoft SMB 服务器发送明文密码。停用在密码到期前提示用户更改密码确定提前多长时间(单位为天)警告用户其密码将过期。通过这种提前警告,用户可以有时间创建具有足够安全性的密码。14天具体设置方法为:进入“控制面板/管理工具/本地安全策略“,在“本地策略->安全选项”中完成上表提及的各个“安全选项”的调整。3.5 安全审计配置标准3.5.1 审核策略配置要求Windows 2000系统的缺省配置是不开任何安全审核,要求通过开启“审核策略”,记录以下操作:审核策略默认配置安全设置审核登陆事件
13、无审核成功,失败审核帐户登陆事件无审核成功,失败审核帐户管理无审核成功,失败审核系统事件无审核成功,失败配置方法:通过“控制面板/管理工具/本地安全策略“,在“本地策略->审核策略”中打开相应的审核选项:3.5.2 日志属性配置要求根据下表调整各种日志属性: 日志类别安全设置应用程序日志大小10240K当达到最大日志大小时改写久于15天的事件安全性日志大小10240K当达到最大日志大小时改写久于15天的事件系统日志大小10240K当达到最大日志大小时改写久于15天的事件配置方法:通过“控制面板/管理工具/事件查看器“,在“属性”中进行设置:3.6 其它安全配置参考3.6.1 使用NTFS
14、文件系统NTFS文件系统比FAT和FAT32强壮和稳定,不易崩溃,Windows2000提供了基于NTFS文件系统的对文件和目录的访问控制列表(ACL)。建议所有的磁盘卷都使用NTFS文件系统。3.6.2 共享管理要求停用所有不必要的文件共享,特别注意系统默认启用的隐含系统共享,如C$、D$、IPC$、admin$等。因工作需要临时开启共享,使用完毕后应及时关闭。1、关闭默认共享的方法有两种:2、在服务配置中禁用Server服务;更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的
15、AutoShareServer 键,值为 0。3.6.3 禁用自动播放功能在命令行运行gpedit.msc,进入组策略管理器,在计算机配置-管理模板-系统,找到右边的“关闭自动播放”,将此条目启用。禁止自动播放功能可以防止U盘病毒等通过自动加载功能引入病毒。3.6.4 启用屏幕保护设置带密码的屏幕保护,将时间设定为5-10分钟,使得系统在无人操作5-10分钟后自动启用屏幕保护,再次进入系统需要认证。 3.6.5 防病毒设置必须安装公司统一的防病毒软件,并设置定期升级。3.6.6 桌面管理软件安装公司统一的桌面管理软件。4 Windows XP 安全配置标准4.1 系统补丁安装标准4.1.1 系
16、统补丁分类Windows XP的与安全相关的补丁大致分三类:n Service Pack(补丁包): Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack 还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。n Security Patch(安全补丁):Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。Microsoft在发布的安全公告中将Security Patch
17、分级为严重、重要、中等、低四个等级。严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。n Hotfix(修补程序):Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。4.1.2 补丁安装原则1、新安装或者重新安装Windows XP操作系统,必须安装最新的Service Pack补丁集。2、必须安装等级为严重和重要的Security Patch。3、有
18、关安全方面的Hotfixes补丁应当及时安装。4、最新的安全补丁发布与升级步骤,参照公司内网和微软网站的公告。注:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。4.2 安全中心配置标准4.2.1 防火墙启用要求Windows XP安装了SP2补丁会有安全中心,包括主机防火墙,自动更新,病毒防护三个主要功能,其中,要求启用Windows防火墙。防火墙启用方式如下图:4.2.2 自动更新启用要求安全中心还包括自动更新功能,定期地检查针对计算机的最新的重要更新,然后自动安装这些更新。重要更新(包括关键更新和安全更新)应该在发行后尽快安装到计算机上,保护您计
19、算机免受病毒攻击和其他安全威胁。要求启用自动更新功能,方法如图所示:注:内外网物理分离管理的终端,可以根据实际情况选择不开启,但应通过其他途径及时获取并安装补丁。4.2.3 防病毒设置安装公司统一的防病毒软件,并设置定期升级。4.2.4 桌面管理软件安装公司统一的桌面管理软件。4.3 帐号和口令安全配置标准4.3.1 密码策略配置要求通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表:策略默认设置安全设置强制密码历史记住 0 个密码记住 5个密码密码最长存留期42 天90 天密码最短存留期0 天0天最短密码长度0 个字符8个字符密码必须符合复杂
20、性要求禁用启用为域中所有用户使用可还原的加密来储存密码已停用已停用“密码策略”的设置步骤如下:进入“控制面板/性能和维护/管理工具/本地安全策略”,在“帐户策略->密码策略”。4.3.2 密码复杂性配置要求在“密码策略”中 “密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符中的三种:n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符,如标点符号,, #, $, %, &, *等4.3.3 帐号安全控制要求1、“帐户锁定策略”配置
21、要求有效的帐号锁定策略有助于防止攻击者猜出您帐号对应的密码。要求按照下表要求调整“帐户锁定策略”:策略默认设置安全设置帐户锁定时间未定义30 分钟帐户锁定阈值05 次无效登录复位帐户锁定计数器未定义30 分钟之后帐号锁定配置具体操作如下图:进入“控制面板/性能和维护/管理工具/本地安全策略”,在“帐户策略->帐户锁定策略”。2、系统内置帐号管理要求Windows XP系统中存在不可删除的内置帐号,包括Administrator和guest。对于管理员帐号,要求更改缺省帐户名称,并对隶属于Administrators组的帐号要严格监控;要求禁用guest(来宾)帐号,以防止攻击者通过利用已
22、知的用户名破坏远程服务器。3、其它帐号管理要求临时的测试帐号和过期的无用帐号应该在3个工作日内及时删除。(注:测试帐号和无用帐号不是系统默认安装时生成的,是系统操作过程中人为新增的帐号,应该及时删除。)4.4 服务和端口配置标准4.4.1 服务管理配置要求Windows XP缺省安装会创建很多默认服务并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。下表列出的服务是Windows XP系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:服务启动类型服务功能实现Automatic Updates自
23、动允许下载并安装Windows更新COM+ 事件服务手动允许组件服务的管理DHCP 客户端自动通过注册和更新IP地址和DNS域名来管理网络配置Distributed Link Tracking Client分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接DNS 客户端自动允许解析 DNS 名称Event Log 事件日志自动允许在事件日志中查看事件日志消息逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网络通讯所需性能日志和警报手动收集计算机的性能数据,向日志中写入或触发警报即插即用自动Windo
24、ws XP 标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据,如私钥远程过程调用 (RPC)自动Windows XP 中的内部过程所需安全帐户管理器自动存储本地安全帐户的帐户信息系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper 服务自动在组策略中进行软件分发所需(可分发修补程序)Windows Audio自动基于Windows的程序的音频设备Windows Firewall自动提供防火墙保护Windows 管理规范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows 时间服务自动需要它来保证 Kerberos 身份验证有一致的功能工
25、作站自动加入域时所需具体设置方法为:进入“控制面板/管理工具/服务“完成上表提及的各个“安全选项”的调整。4.4.2 端口配置要求为防止攻击者通过小端口浏览到指定网段内的工作站中全部共享信息、对共享文件进行编辑、删除操作等,应该关闭不需要的小端口,关闭方法如下:1、139端口139端口是NetBIOS Session端口,用来文件和打印共享。按照如下方法关闭:关闭139端口,在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里选择“禁用TCP/IP的NETBIOS” 。2、445端口关闭445端口,修改注册表,添加
26、一个键值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDeviceEnabled"=dword:00000000。注:若打印机配置必须开启以上端口,可暂不关闭。4.5 安全选项配置标准请按照下表中的要求设置Windows XP系统中的安全选项:安全选项安全设置帐户: 使用空白密码的本地帐户只允许进行控制台登录已启用帐户: 重命名系统管理员帐户重命名帐户: 重命名来宾帐户重命名设备: 允许不登录移除已禁用设备: 允许格式化和弹出可移动媒体Administrators设备: 防止用户安装
27、打印机驱动程序已禁用设备: 只有本地登录的用户才能访问 CD-ROM已启用设备: 只有本地登录的用户才能访问软盘已启用设备: 未签名驱动程序的安装操作允许安装但发出警告交互式登录: 不显示上次的用户名已启用交互式登录: 不需要按 CTRL+ALT+DEL已禁用交互式登录: 用户试图登录时消息文字此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。交互式登录: 可被缓存的前次登录个数(在域控制器不可用的情况下)1交互式登录: 在密码到期前提示用户更改密码14天Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器已禁用Microsoft 网络服务器: 在挂起会话之前所
28、需的空闲时间15 分钟Microsoft 网络服务器: 数字签名的通信(若客户同意)已启用Microsoft 网络服务器: 当登录时间用完时自动注销用户已禁用网络访问: 允许匿名 SID/名称 转换已禁用网络访问: 不允许 SAM 帐户和共享的匿名枚举已启用网络访问: 不允许为网络身份验证储存凭据或 .NET Passports已启用网络访问: 限制匿名访问命名管道和共享已启用网络访问: 本地帐户的共享和安全模式经典 - 本地用户以自己的身份验证网络访问: 可远程访问的注册表路径空网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值已启用网络安全: 在超过登录时间后强制注销已
29、禁用网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全要求 NTLMv2 会话安全 要求 128-位加密关机: 允许在未登录前关机已禁用关机: 清理虚拟内存页面文件已启用具体设置方法为:进入“控制面板/性能和维护/管理工具/本地安全策略“,在“本地策略->安全选项”中完成上表提及的各个“安全选项”的调整。4.6 安全审计配置标准4.6.1 审核策略配置要求Windows XP系统的缺省配置是不开任何安全审核,要求通过开启“审核策略”,记录以下操作:审核策略默认配置安全设置审核登陆事件无审核成功,失败审核帐户登陆事件无审核成功,失败审核帐户管理无审核成功,失败审核系统
30、事件无审核成功,失败配置方法:通过“控制面板/管理工具/本地安全策略“,在“本地策略->审核策略”中打开相应的审核选项:4.6.2 日志属性配置要求根据下表调整各种日志属性: 日志类别安全设置应用程序日志大小10240K当达到最大日志大小时改写久于15天的事件安全性日志大小10240K当达到最大日志大小时改写久于15天的事件系统日志大小10240K当达到最大日志大小时改写久于15天的事件配置方法:通过“控制面板/管理工具/事件查看器“,在“属性”中进行设置:4.7 其它安全配置参考4.7.1 使用NTFS文件系统NTFS文件系统比FAT和FAT32强壮和稳定,不易崩溃,Windows X
31、P提供了基于NTFS文件系统的对文件和目录的访问控制列表(ACL)。建议所有的磁盘卷都使用NTFS文件系统。4.7.2 共享管理要求停用所有不必要的文件共享,特别注意系统默认启用的隐含系统共享,如C$、D$、IPC$、admin$等。因工作需要临时开启共享,使用完毕后应及时关闭。1、关闭默认共享的方法有两种:2、在服务配置中禁用Server服务;更改注册表键值:在HKLMSystemCurrentControlSet ServicesLanmanServerParameters下,增加REG_DWORD类型的AutoShareServer 键,值为 0。4.7.3 禁用自动播放功能在命令行运行
32、gpedit.msc,进入组策略管理器,在计算机配置-管理模板-系统,找到右边的“关闭自动播放”,将此条目启用。禁止自动播放功能可以防止U盘病毒等通过自动加载功能引入病毒。4.7.4 启用屏幕保护设置带密码的屏幕保护,将时间设定为5-10分钟,使得系统在无人操作5-10分钟后自动启用屏幕保护,再次进入系统需要认证。 4.7.5 系统启动自动加载项在命令行运行msconfig.exe,进入系统配置使用程序,对系统启动加载项目进行检查,将不必要的加载项清除。建议:首先确定每个加载项内容的用途,比如下列加载:输入法、系统驱动、业务软件、杀毒软件等;对于不需要自动启动的应用项目予以清除。5 Windo
33、ws 7 安全配置标准5.1 系统补丁安装标准5.1.1 系统补丁分类Windows 7系统与安全相关的补丁大致分三类:n Service Pack(补丁包): Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack 还可能包含自产品发布以来针对内部发现问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。n Security Patch(安全补丁):Security Patch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。Mic
34、rosoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。n Hotfix(修补程序):Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。5.1.2 补丁安装原则1、新安装或者重新安装Windows 7操作系统,必须安装最新的Service Pack补丁集。2、必须
35、安装等级为严重和重要的Security Patch。3、有关安全方面的Hotfixes补丁应当及时安装。4、最新的安全补丁发布与升级步骤,参照公司内网和微软网站的公告。注:补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。5.2 系统和安全配置标准5.2.1 防火墙启用要求要求启用Windows防火墙。防火墙启用方式如下图:5.2.2 自动更新启用要求系统和安全还包括自动更新功能,定期地检查针对计算机的最新的重要更新,然后自动安装这些更新。重要更新(包括关键更新和安全更新)应该在发行后尽快安装到计算机上,保护您计算机免受病毒攻击和其他安全威胁。要求启用自
36、动更新功能,方法如图所示:注:内外网物理分离管理的终端,可以根据实际情况选择不开启,但应通过其他途径及时获取并安装补丁。5.2.3 防病毒设置必须安装公司统一的防病毒软件,并设置定期升级。5.2.4 桌面管理软件安装公司统一的桌面管理软件。5.3 帐号和口令安全配置标准5.3.1 密码策略配置要求通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:策略默认设置安全设置密码必须符合复杂性要求禁用启用密码长度最小值0 个字符8 个字符密码最短使用期限0天1天密码最长使用期限0天90天强制密码历史记住 0 个密码记住 5个密码用可还原的加密来储存
37、密码已禁用已禁用“密码策略”的设置步骤如下图:进入“控制面板/系统和安全/管理工具/本地安全策略”,在“帐户策略->密码策略”。5.3.2 密码复杂性配置要求在“密码策略”中 “密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符中的三种:n 英语大写字母 A, B, C, Z n 英语小写字母 a, b, c, z n 西方阿拉伯数字 0, 1, 2, 9 n 非字母数字字符,如标点符号,, #, $, %, &, *等5.3.3 帐号安全控制要求1、“帐户锁定策略”配置要求有效的帐号锁定策略有助于防止攻击者猜出您帐号
38、对应的密码。要求按照下表要求调整“帐户锁定策略”:策略默认设置安全设置复位帐户锁定计数器未定义30 分钟之后帐户锁定时间未定义30 分钟帐户锁定阈值05 次无效登录帐号锁定配置具体操作如下图:进入“控制面板/系统和安全/管理工具/本地安全策略”,在“帐户策略->帐户锁定策略”。2、系统内置帐号管理要求Windows 7系统中存在不可删除的内置帐号,包括Administrator和guest。对于管理员帐号,要求更改缺省帐户名称,并对隶属于Administrators组的帐号要严格监控;要求禁用guest(来宾)帐号,以防止攻击者通过利用已知的用户名破坏远程服务器。3、其它帐号管理要求临时
39、的测试帐号和过期的无用帐号应该在3个工作日内及时删除。(注:测试帐号和无用帐号不是系统默认安装时生成的,是系统操作过程中人为新增的帐号,应该及时删除。)5.4 服务和端口配置标准5.4.1 服务管理配置要求Windows 7缺省安装会创建很多默认服务并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务,而任何多余的服务都是潜在的受攻击点,因此要求禁用不必要的服务。下表列出的服务是Windows 7系统提供基本管理功能所必需的,请根据系统的应用的情况禁用下表中没有提到的服务:服务启动类型服务功能实现Automatic Updates自动允许下载并安装Windows更新Base Filte
40、ring Engine自动一种管理防火墙和IPSEC策略的服务COM+ 事件服务手动允许组件服务的管理DHCP 客户端自动通过注册和更新IP地址和DNS域名来管理网络配置Distributed Link Tracking Client分布式链接跟踪客户端自动用来维护 NTFS 卷上的链接DNS 客户端自动允许解析 DNS 名称Event Log 事件日志自动允许在事件日志中查看事件日志消息Group Policy Client自动提供计算机组策略设置服务逻辑磁盘管理器自动需要它来确保动态磁盘信息保持最新逻辑磁盘管理器管理服务手动需要它以执行磁盘管理Netlogon自动加入域时所需网络连接手动网
41、络通讯所需Network Store Interface Service自动向用户模式客户端发送网络通知性能日志和警报手动收集计算机的性能数据,向日志中写入或触发警报即插即用自动Windows 7标识和使用系统硬件时所需受保护的存储区自动需要用它保护敏感数据,如私钥远程过程调用 (RPC)自动Windows 7 中的内部过程所需RPC Endpoint Mapper自动解析RPC接口标识符以传输端点安全帐户管理器自动存储本地安全帐户的帐户信息系统事件通知自动在事件日志中记录条目所需TCP/IP NetBIOS Helper 服务自动在组策略中进行软件分发所需(可分发修补程序)User Prof
42、ile Service自动负责加载和卸载用户配置文件Windows Audio自动基于Windows的程序的音频设备Windows Audio Endpoint Builder自动管理Windows音频服务的音频设备Windows Firewall自动提供防火墙保护Windows 管理规范驱动程序手动使用“性能日志和警报”实现性能警报时所需Windows 时间服务自动需要它来保证 Kerberos 身份验证有一致的功能工作站自动加入域时所需具体设置方法为:进入“控制面板/系统和安全/管理工具/服务“完成上表提及的各个“安全选项”的调整。5.4.2 端口配置要求为防止攻击者通过小端口浏览到指定网
43、段内的工作站中全部共享信息、对共享文件进行编辑、删除操作等,应该关闭不需要的小端口,关闭方法如下:1、139端口139端口是NetBIOS Session端口,用来文件和打印共享。按照如下方法关闭:关闭139端口,在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里选择“禁用TCP/IP的NETBIOS” 。2、445端口关闭445端口,修改注册表,添加一个键值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters"SMBDevi
44、ceEnabled"=dword:00000000。注:若打印机配置必须开启以上端口,可暂不关闭。5.5 安全选项配置标准请按照下表中的要求设置Windows 7系统中的安全选项:安全选项安全设置帐户: 使用空密码的本地帐户只允许进行控制台登录已启用帐户: 重命名系统管理员帐户重命名帐户: 重命名来宾帐户重命名设备: 允许在未登录的情况下弹出已禁用设备: 允许对可移动媒体进行格式化并弹出Administrators设备: 防止用户安装打印机驱动程序已禁用设备: 将CD-ROM的访问权限仅限于本地登录的用户已启用设备: 将软盘驱动器的访问权限仅限于本地登录的用户已启用交互式登录: 不显示最后的用户名已启用交互式登录: 无需按 CTRL+ALT+DEL已禁用交互式登录: 之前登录到缓存的次数 (域控制器不可用时)1交互式登录: 提示用户在过期之前更改密码14天Microsoft 网络客户端: 将未加密的密码发送到第三方 SMB 服务器。已禁用Microsoft 网络服务器: 暂停会话前所需的空闲时间数量15 分钟Microsoft 网络服务器: 对通信进行数字签名(始终)已启用Microsoft 网络服务器: 登录时间过期后断开与客户
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 通信运维工程师聘用合同模板
- 夏令营地活动安全保障合同
- 水利水电工程施工合同模板
- 美食广场厨师长聘用合同
- 食品安全与原料采购规范
- 能源企业参股管理要求
- 供应链管理招投标专家库建设
- 前台服务技能提升手册
- 农村电网配电箱投标方案
- 质量保证协议书电子游戏分销商
- (2024年)燕歌行高适公开课教案
- 文化创意公司章程范本
- (多场景)酒店与公司协议价合同范本(通用)
- 电子装接培训课件资料
- T-ZSMS 0034-2023 轨道交通巡检用无人机自动机巢选址规范
- 2024届江苏省徐州市、南通市等2地高三第二次调研测试语文试题
- 供应链卓越运营培训
- 河南省郑州市2023-2024学年高二上学期期期末生物试题
- 三年级下册口算天天100题(A4打印版)
- wedo2完整版本.0第一课拉力小车
- 创业月嫂行业分析
评论
0/150
提交评论